Page 37 - แนวนโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยด้านสารสนเทศ
P. 37

สวนที่ ๗
               การควบคุมการเขาถึงโปรแกรมประยุกตหรือแอปพลิเคชันและสารสนเทศ

               (Application and Information Access Control)

               วัตถุประสงค
                        เพื่อจำกัดหรือควบคุมการเขาถึงหรือเขาไปใชงานของผูใชและบุคลากรฝายสนับสนุนการเขาใชงาน

               ในการเขาถึงสารสนเทศและฟงกชัน (Functions) ตางๆ ของโปรแกรมประยุกตหรือแอปพลิเคชัน ทั้งนี้ โดยให
               สอดคลองตามนโยบายควบคุมการเขาถึงสารสนเทศที่ไดกำหนดไว


               แนวปฏิบัติ
                        ๗.๑ การจำกัดการเขาถึงสารสนเทศ (Information Access  Restriction) ตองจำกัดหรือควบคุม
               การเขาถึงหรือเขาไปใชงานของผูใชและบุคลากรฝายสนับสนุนการเขาใชงานในการเขาถึงสารสนเทศและ
               ฟงกชัน (Functions) ตางๆ ของโปรแกรมประยุกตหรือแอปพลิเคชัน ทั้งนี้โดยใหสอดคลองตามนโยบาย
               ควบคุมการเขาถึงสารสนเทศที่ไดกำหนดไว ดังนี้

                            ๗.๑.๑  มีการกำหนด Username และ Password สำหรับการเขาถึงหรือเขาใชงานของผูใช
               และบุคลากรฝายสนับสนุนเขาใชงานระบบโปรแกรมประยุกตและสารสนเทศ โดยเจาหนาที่ Admin ที่ดูแล
               ระบบจะเปนผูกำหนดให

                            ๗.๑.๒  ในการเรียกใชงานระบบโปรแกรมประยุกตและสารสนเทศ จะมีหนาตางการ Login
               ซึ่งผูใชงานจะตองระบุ User และ Password ในการเขาใชงานทุกครั้ง จากนั้นระบบจะใหสิทธิ์ Permission
               ในการเขาถึงฟงกชัน (Functions) ตางๆ ของระบบ ซึ่งจะแตกตางกันตามสิทธิ์ที่ได Login ที่เขามา
                            ๗.๑.๓  การพัฒนาโปรแกรมประยุกตหรือแอปพลิเคชัน ควรมีการควบคุมหรือจัดทำเปน
               ขอกำหนดสำหรับโครงการที่ดำเนินการจากหนวยงานภายนอก/ผูใหบริการภายนอก (ผูรับจาง) ในการรักษา

               ความมั่นคงปลอดภัยของระบบสารสนเทศ การกำหนดผูมีสิทธิ์ในการเขาถึงและความเปนเจาของขอมูลทั้งหมด
               แกกรมพัฒนาที่ดิน รวมถึงการกำหนดเงื่อนไขในการรักษาขอมูลความลับของทางราชการ เชน ขอมูลที่ใช
               ในการพัฒนา ขอมูลสวนบุคคลที่มีการใชงานรวมกัน เปนตน

                        ๗.๒ ระบบสารสนเทศที่มีผลกระทบและความสำคัญสูงตอองคกร ระบบที่ไวตอการรบกวน ตองไดรับ
               การแยกออกจากระบบอื่นๆ และมีการควบคุมสภาพแวดลอมของตนเองโดยเฉพาะ ใหมีการควบคุมอุปกรณ
               คอมพิวเตอรและสื่อสารเคลื่อนที่และการปฏิบัติงานจากภายนอกองคกร (Mobile Computing and
               Teleworking) ดังนี้

                            ๗.๒.๑  การจำกัดการเขาถึงสารสนเทศ และควบคุมการเขาใชงานทางดานกายภาพ โดยแยก
               ระบบที่มีความสำคัญมาเก็บรักษาไวในหองควบคุมระบบ ที่มีระบบรักษาความปลอดภัย โดยในการเขาออก
               หองทุกครั้งจะตองสแกนลายนิ้วมือ หรือ Smart Card หรือใชการยืนยันตัวตนโดยหลายปจจัย (MFA) เพิ่มเติม
               โดยอนุญาตเฉพาะผูที่มีสิทธิ์ในการเขาถึง

                            ๗.๒.๒  การจำกัดการเขาถึงสารสนเทศ และควบคุมการเขาใชงานทางดานกายภาพ โดยมี
               การล็อคกุญแจเครื่องแมขายที่ใหบริการ








                                        นโยบายและแนวปฏิบัติการรักษาความมั่นคงปลอดภัยดานสารสนเทศ กรมพัฒนาที่ดิน
                                                                                                       ๒๘
   32   33   34   35   36   37   38   39   40   41   42